Grupos de ciberespionagem têm utilizado ransomware como tática para tornar mais desafiadora a atribuição de ataques, distrair os defensores ou como um objetivo secundário para obtenção de recompensa financeira além do roubo de dados.
Um relatório conjunto da SentinelLabs e Recorded Future apresenta o caso do ChamelGang, um suposto APT (advanced persistent threat) chinês que vem utilizando a strain de ransomware CatB em ataques que afetam organizações de grande perfil mundialmente.
Um cluster de atividades separado utiliza BestCrypt e Microsoft BitLocker para alcançar objetivos similares, embora a atribuição não seja clara.
ChamelGang, também conhecido como CamoFei, tem como alvos organizações governamentais e entidades de infraestrutura crítica entre 2021 e 2023.
O grupo utiliza técnicas sofisticadas para obter acesso inicial, para reconhecimento e movimento lateral, e para exfiltrar dados sensíveis.
Em um ataque em novembro de 2022, os atores de ameaça visaram a Presidência do Brasil e comprometeram 192 computadores.
O adversário confiou em ferramentas de reconhecimento padrão para mapear a rede e coletar informações sobre sistemas críticos.
Na última etapa do ataque, ChamelGang implantou o ransomware CatB na rede, deixando notas de resgate no início de cada arquivo criptografado.
Eles forneceram um endereço ProtonMail para contato e um endereço Bitcoin para pagamento.
O ataque foi inicialmente atribuído ao TeslaCrypt, mas a SentinelLabs e Recorded Future apresentam novas evidências que apontam para o ChamelGang.
Durante outro incidente no final de 2022, ChamelGang violou o All India Institute Of Medical Sciences (AIIMS), universidade e hospital público de pesquisa médica.
O ator de ameaça usou novamente o ransomware CatB, causando grandes interrupções nos serviços de saúde.
Os pesquisadores acreditam que outros dois ataques, contra uma entidade governamental no Leste Asiático e uma organização de aviação no subcontinente indiano, também são obra do ChamelGang, baseados no uso de TTPs conhecidos, ferramental disponível publicamente visto em engajamentos anteriores e seu malware customizado BeaconLoader.
Um cluster separado de atividades identificado pela SentinelLabs e Recorded Future criptografa arquivos usando Jetico BestCrypt e Microsoft BitLocker em vez de ransomware CatB.
Os pesquisadores dizem que essas intrusões impactaram 37 organizações, a maioria na América do Norte.
Outras vítimas estavam na América do Sul e na Europa.
Ao comparar evidências em relatórios de outras empresas de segurança cibernética, os pesquisadores descobriram sobreposições com intrusões passadas ligadas a APTs chineses e norte-coreanos suspeitos.
Normalmente, BestCrypt era usado para mirar em endpoints de servidores de maneira automatizada e serial, enquanto BitLocker era implantado contra workstations, com senhas de recuperação únicas usadas em cada caso.
Os atacantes também utilizaram o webshell China Chopper, uma variante customizada da ferramenta miPing e se aproveitaram de Active Directory Domain Controllers (DCs) como pontos de apoio.
Os analistas relatam que esses ataques duraram em média nove dias, enquanto alguns tiveram curta duração de apenas algumas horas, indicando familiaridade com o ambiente alvo.
Um motivo para envolver ransomware em ataques de ciberespionagem pode ser que isso fornece benefícios estratégicos e operacionais que confundem as linhas entre atividade de APT e cibercriminal, podendo levar à atribuição incorreta ou como meio de ocultar a natureza da coleta de dados da operação.
Atribuir incidentes passados de ransomware a um ator de ameaça de ciberespionagem como o ChamelGang é novidade e mostra que os adversários estão mudando táticas para encobrir seus rastros enquanto ainda alcançam seus objetivos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...